IPV6场景化解决方案
序言
随着加快推进IPv6规模部署工作,是各行各业的网络改造现在乃至今后一段时期的重点工作。目前来看,很多企业或组织起步良好,进展顺利,在网络设施的IPv6改造取得阶段性成果。但是,从IPv4到IPv6的升级改造工作量大,时间紧,非常有挑战性。各机构都在积极探索过渡阶段的实施方案,以保障行动计划顺利实施,从而实现互联网应用的快连,平滑升级。实现互联网应用的快速、平滑升级。
从IPv4到IPv6,推动互联网演进升级
一般来说,企业或垂直行业的网络架构,所在的IT系统一般分为三个区域:互联网的接入区、WEB应用区、系统应用区和DB数据库区。
根据系统结构特点,目前主流改造方案包括两种:第一种是直接改造现有IPv4网络;第二种是保持不变IPv4网络,新建IPv6网络平面。
针对直接改造现有 IPv4 网络方案,深信服提出两种改造建议:
第一种,双栈改造至互联网接入区,在互联网接入区链路负载上做IPv6到IPv4协议的转换。
这部分的改造方案改造实现简单,但存在缺陷:第一,端到端的安全性无法保证,在攻击溯源、流量审计等方面存在较大隐患,难以定位和具体封堵攻击源;第二,原有运行逻辑,业务流程,防护层次被打破,运行监控体系无法发挥效果;第三,翻译设备容易成为安全瓶颈,一旦被攻击可能导致网络瘫痪。
第二种,双栈改造至WEB区服务器负载,在WEB接入区服务器负载上做IPv6到IPv4协议的转换。
这部分的改造方案改造难度适中,现有运行逻辑,业务流程,防护层次未发生改变,运行监控体系基本有效,能基本实现端到端的安全性法,可以进行攻击溯源、流量审计,能够定位和具体封堵攻击源。缺点是需要评估 IPv4 网络中网络和安全设备对 IPv6 的支持情况和性能压力。
这两种方案是对已有出口进行改造,属于设备利旧,优势是成本可控,缺点是维护风险加倍。例如:增加设备 / 系统的暴露面、策略管理复杂度加倍、防护被穿透的机会加倍;故障率增加,双栈系统的复杂性也会增加网络节点的数据转发负担,导致网络节点的故障率增加。
升级IPv4/IPv6双栈的主要工作内容
| 序号 | 改造内容 | 软硬件设备升级 | 工作内容 |
| 1 | 网络层改造 | 1. 接入IPv6带宽2. 获得IPv6地址 | 1. 接入IPv6静态/BGP带宽2. IPv6地址免费。 |
| 2 | 设备层改造 | 1. 路由器启用IPv6协议栈2. 防火墙配置IPv6策略3. 负载均衡设备启用IPv64. 交换机配置IPv6策略5. 操作系统启用IPv6协议 | 1. 老旧路由器设备可能需升级,或购买IPv6授权。2. 老防火墙可能需升级或淘汰3. 负载均衡设备无需升级4. 老旧交换机需要淘汰更新。5. 操作系统无需更换。 |
| 3 | 业务系统改造 | 1. 数据库系统支持IPv62. Web中间件系统启用IPv63. CMS系统支持IPv64. DNS启用AAAA记录5. Web防护系统启用IPv6日志统计系统启用IPv6 | 1. 很老的数据库可能需要升级2. 老Web中间件可能需要升级3. 老CMS系统可能需要升级,WordPressCMS系统需更换。4. DNS域名解析支持AAAA记录;如使用ZDNS需启用高级功能。5. Web防护系统可能需要升级。6. 日志统计系统升级。 |
| 4 | 网络代码改造 | 1、网页/APP中以IPv4地址直接写入的文件URL或链接URL更换成域名。2、网页代码中存在无法处理IPv6地址的函数更换成同时支持IPv4和IPv6的函数和程序。3、程序中存储IP地址的数据空间(IPv4为32位)修改,为同时支持IPv4(32位)和IPv6(128位)的变量结构、数据库结构或API。 | 程序员修改全站代码。所需时间由网站的规模、复杂程度,程序员团队开发水平,决定工作量和升级时间。具体花费时间很难预测。 |
为规避上述两种方案的风险,目前企业网的客户普遍采用现有IPv4网络保持不变新建IPv6网络平面方案,目前典型的两种改造方案:
第一种,新建互联网接入区IPv6网络平面,在互联网接入区链路负载上做IPv6到IPv4协议的转换,由于无法实现端到端的网络安全性,建议逐渐过渡到第二种方案。
第二种,新建互联网接入区+WEB接入区IPv6网络平面,在WEB接入区服务器负载上做IPv6到IPv4协议的转换,这部分的改造方案可实现端到端的网络安全性,符合IPv6最终网络架构。
这两种方案是新建IPv6网络平面,属于设备新建,缺点是成本较高,优势是维护风险可控,故障类可控,可实现业务平滑上线和迁移,同时可以避免运行双栈的业务系统影响其他只运行IPv4的业务系统。
四大场景方案
场景1
新建网络出口改造方案
用户需求:满足门户网站IPv6线路安全接入访问,不想改变现有IPv4网络架构
适用场景:IPv4业务系统改造(包括网站、互联网业务及APP等)
改造内容:新建网络出口平面,包括支持IPv4 / IPv6双栈的安全、负载均衡设备
方案部署:对于注重IPv6安全,但现有网络内很多设备不支持IPv6的中大型用户来说,新建网络出口改造方案是指运营商分别提供IPv4、IPv6接入,保持原有IPv4内网网络和应用不变。然后通过新建一个IPv6网络出口,并部署负载均衡设备,实现所有IPv6访问请求转换为IPv4访问请求。
这部分的改造方案不会对用户现有的IPv4网络架构和安全体系,以及后端业务系统造成影响,助力用户有效防范IPv6安全风险,减少运维和现有设备压力。
场景2
网络边界改造方案
用户需求:快速实现IPv6改造,不希望改动内网现有设备
适用场景:IPv4业务系统改造(包括网站、互联网业务及APP等)
改造内容:仅在网络出口部署负载均衡设备
方案部署:通过将负载均衡设备部署在网络出口处,做IPv6 DNS域名解析,实现IPv6到IPv4的快速转换。
这部分的改造方案只需出口设备和负载均衡设备支持IPv4/IPv6双栈即可,负载均衡设备以下网络、安全设备及业务系统无需调整。
满足用户不希望对内网现有设备和后端业务系统进行改动的需求。
场景3
业务系统改造方案
用户需求:不想改动现有IPv4网络架构,但希望逐步改造后端业务系统
适用场景:IPv4业务系统改造(包括网站、互联网业务及APP等)
改造内容:网络、安全设备、操作系统及业务系统本身都要支持IPv4/IPv6双栈+部署负载均衡设备
方案部署:这部分的改造方案采用双平面由IPv4向纯IPv6网络过渡,运营商提供IPv6接入,保持原有IPv4内网网络和应用不变,新增负载均衡设备提供IPv6接入,并包含外网防火墙,DNS v6等功能。IPv6客户端可通过该入口访问内部的IPv6业务,同时原有IPv4网络中的业务将逐步向IPv6网络进行迁移。
IPv6最佳建设方案
这部分的改造方案对用户目前已有IPv4网络架构无任何改动,同时不会对现有的业务产生影响。业务系统结束双栈改造后,整网的改造也就完成。
场景4
网络出口改造方案
用户需求:满足门户网站IPv6线路安全接入访问,同时不破坏现有网络的安全体系
适用场景:IPv4业务系统改造(包括网站、互联网业务及APP等)
改造内容:安全设备及核心以上网络设备需要支持IPv4/IPv6双栈、部署负载均衡设备
方案部署:对于关注IPv6安全建设的用户来说,为了确保当前网络的整体安全体系不受影响,将负载均衡设备部署在安全设备的下面,通过负载均衡设备的NAT-PT功能,将IPv6访问请求转换为IPv4访问请求。
对于很多应用,特别是云应用,还需要云解析 DNS 支持 IPv6 网站域名解析,负载均衡 CLB 支持对 IPv4 和 IPv6 流量的转发和均衡,后端CVM和云数据库支持双栈,此外还可运用 CDN 进行静态内容加速。
这部分的改造方案要求负载均衡设备以上网络、安全设备均需支持IPv4/IPv6双栈,满足用户安全防护层次不发生改变,确保端到端安全,同时不需要对后端业务系统进行改动的需求。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞0作者其他文章
评论 1 · 赞 7
评论 0 · 赞 2
评论 0 · 赞 0
评论 0 · 赞 0
评论 0 · 赞 0
添加新评论0 条评论